セキュリティ

2005年10月29日

「セキュリティ」の記事一覧

王様喜び【基礎知識】
セキュリティの基礎・・・コロンブスからの質問
 デジタル署名
 証明書
 クライアントここ証明書を実際に取得してみよう
 EAP(Extensible Authentication Protocol)
ファーミング詐欺
 検疫システム
 802.1X認証
 MACアドレス認証
 IDS、IDP、IPS
ICカード（USBトークン）のPIN

【過去問　午前】
平成18年度　午前　問46　共通鍵暗号方式
 平成17年度　午前　問47　公開かぎ暗号方式
 （SU）平成18年度　午前　問23
（SU）平成17年度　午前　問21　 SSL
（SU)平成18年度　午前　問24　　秘密鍵
 （SW）平成19年度　午前　問56　セキュリティ関連のプロトコル

この記事のURL │Comments(0) │Q&A掲示板

2005年10月27日

セキュリティの基礎・・・コロンブスからの質問

【コロンブス】
「合格のコツ」において、”基礎が大事”と書いた。
基礎という言葉は抽象的であるため、基礎ができているかの判断基準を以下に設けた。

理解できているかを確認してほしい。
①デジタル署名とは？
②デジタル署名によって防げるセキュリティ被害は？
③デジタル署名の実体は？
④証明書とデジタル署名の違いは？
⑤インターネットVPNとSSL-VPNの違いは？

この記事のURL │Comments(0) │Q&A掲示板

2005年10月25日

デジタル署名

◆１．デジタル署名とは？

重要文書において、
①作成者が本人であることを証明
②文書が改ざんされていないことを証明

ただし、重要文書の暗号化はされていない。

◆２．デジタル署名の実体は？
文書のダイジェスト版（ハッシュしたもの）を作成者の秘密鍵で暗号化したもの

◆３．なぜ１のセキュリティが保たれる？
作成者の秘密鍵で暗号化されているということがどうして１の２つの保証できるのか？

①作成者が本人であることを証明
公開鍵で復号できた場合、秘密鍵は本人しかもっていないので、本人であることが証明される。

②文書が改ざんされていないことを証明
文書自体を再度ハッシュし、ダイジェスト版と比較する。もし両者が一致していれば、改ざんされていないことが証明される。

◆４．本当に保証されるの？
保証されるのは、「公開鍵が正しい」ときだけです。
だから、PKI（Public Key Infrastructure）として、公開鍵の正当性を保つ仕組みが国として確立されています。

公開鍵が正しいかを証明するのが、証明書（公開鍵証明書）です。
詳しくは、証明書の記事で。

この記事のURL │Comments(0) │Q&A掲示板

2005年10月24日

証明書

コロンブス普通【コロンブス】

証明書を理解しましょう。
証明書は何を証明するのでしょうか？

王様普通

【王様】
そりゃ、本人であることを証明するのだろう。
違うのか？

コロンブス×

【コロンブス】
違います。
公開鍵を証明するものです。

その人を証明しても、公開鍵と秘密鍵がないと、インターネットの世界ではやりとりができません。

証明書を実際に書きながら、以下の問いに答えてください。
①証明書の構造をかけ
②CAのデジタル署名とは何？
[　ア　]の[　イ　]鍵で[　ウ　]を暗号化したもの。
③証明書が正しいかを確認するためには、何が必要か？
④なぜ、②の処理をするのか？
⑤証明書の中で、暗号化されている部分は？

この記事のURL │Comments(0) │Q&A掲示板

2005年10月23日

クライアントここ証明書を実際に取得してみよう

コロンブス瞑想【コロンブス】
クライアント証明書を確認しましょう。
以下のサイトに無料で取得できるクライアント証明書の取得法が記載されています。

http://www.atmarkit.co.jp/fwin2k/win2ktips/647freeca/freeca01.html

インターネットエクスプローラを起動し、「ツール」「インターネットオプション」「コンテンツ」「証明書」にて「個人」のタグに入っていることを確認しましょう。

ためしに、エクスポートしてみましょう。
「秘密鍵のエクスポート」ができないようになっていると思います。
これはコピーができないということです。

この記事のURL │Comments(0) │Q&A掲示板

2005年10月22日

EAP(Extensible Authentication Protocol)

コロンブス普通直訳すると、拡張された認証プロトコル
何を拡張したかというとPPPである。
PPPはPAPかCHAPなので、簡単な認証しかできない。
ところが、EAPはTLSやPEAPなど証明書を使った高度な認証が可能になった。

じゃあ、なぜPPPはPAPやCHAPだけでいいのか？

王様普通
【王様】
それは、物理的に1対1でつながっているから、セキュリティは低くていいんじゃろう。

コロンブス○

【コロンブス】
そうですね。
まあ、低くていいというわけではありませんが、セキュリティのリスクが少ないので、高度なセキュリティ対策は不要ということですね。
EAPは無線LANのような、セキュリティリスクが高いところで活用されます。

◆EAP（PPP Extensible Authentication Protocol）
EAPって概念がややこしいが、シンプルに考えましょう。
PPPの認証方式の拡張したものです。802.1xとは別物として考えましょう。
PPPでの認証方式はPAPとCHAPでしたが、どちらもセキュリティが不十分です。そこで、新しい枠組みとして、EAPというProtocolが定義された。ただそれだけです。

①PAP（Password Authentication Protocol）：IDとパスワードを平文で流す
②CHAP（Challenge Handshake Authentication Protocol）：メッセージダイジェストを使うので、パスワードが暗号化して流れる。
③EAP-MD5：EAPの枠組みで動作するCHAP。内容はCHAPと同じだが、PPPとEAPはプロトコルが違うため、やり取りが異なる。登場機器も、802.1xを使う場合、サプリカント、オーセンティケータ、認証サーバの3つ。
④PEAP：サーバ証明書を使い、クライアント側はIDとパスワードを利用する。これも、枠組みであるため、クライアント側の認証にはMS-CHAPv2などから選択できる。
⑤EAP-TLS：クライアント証明書を利用する。

この記事のURL │Comments(0) │Q&A掲示板

2005年10月21日

ファーミング詐欺

基本的にはフィッシング詐欺であるが、ファーミング（農場）の名前のように、大規模に種をまいて刈り取る。
DNSキャッシュポイズニングによって違うサイトに誘導し、そこには本物そっくりのサイトが構築されている。
偽サイトであることに気がつかない場合、クレジット番号などを盗まれてしまう。

この記事のURL │Comments(0) │Q&A掲示板

2005年10月19日

検疫システム

CiscoのNACが主流になるだろうと思っていましたが、あまり浸透していないですね。

書籍やサイトでは次の３つに分類することが多いですね。
（１）認証スイッチ方式
Radiusと認証スイッチを導入し、802.1x認証を実施する。これは無線LANと全く同じ。割り当てるVLANを、最初は検疫用ネットワークとし、検査合格ならば社内ネットワークとする。
クライアントには802.1x認証用のサプリカントを含めたエージェントソフトが必要
（２）DHCPサーバ方式
DHCPによるIPアドレスの付与を、最初は検疫用ネットワークとし、検査合格ならば社内ネットワークとする。
これも、エージェントが必要。
（３）パーソナルファイアウォール方式
クライアントPC上のパーソナルファイアウォールの設定でのフィルタリング
で、検疫前と検疫後のフィルタを変更する。
これも、エージェントが必要。

実際の製品は色々な仕組みを組み合わせているので、上記のように３つに分かれるとは思いません。「あえて分類するなら」と考えましょう。

また、上記の３つが検疫前と検疫後を分ける手段をキーワードで答えましょう。

（１）認証スイッチ方式：VLAN
（２）DHCPサーバ方式：IPアドレス
（３）パーソナルファイアウォール方式：PCのフィルタリング

■検疫とは
・そもそも、検疫とは何か？空港にて、動物や食品などの病気や有害物質を
チェックすること。ネットワークにおいては、ウィルス感染などがなく、パソコン
が正常化をチェックすること。
・検疫ネットワークとは、パソコンの安全性をチェックするためだけに接続できるネットワークのこと。
・隔離、検査、治療する流れ（著作権は以下）
http://www.atmarkit.co.jp/fnetwork/tokusyuu/27keneki/01.html
・隔離する手段に用いられるのが、DHCPや認証SW。
・DHCP方式、認証SW方式を頭にイメージする。（以前はパーソナルFWが
あったが、最近は聞かない。）
・認証SWでもDHCPも併用するところもある。認証SW方式は全拠点にSWを置く必要があり、莫大なコストがかかる。DHCP方式が安価でいい。
だが、固定IPで接続されるなどの欠点がある。

■技術的にどうやるの？
H19PM1-2などに、「最初は検疫用のIPアドレスを払い出し、検疫が終わった後、改めて業務用LANに、、、」とありますが、技術的にどうやるの？そんなことできるの？って思いますよね。
これは、クライアントにエージェントソフトを入れ、エージェントソフトが実施することが多いです。だから、技術的な内容はあまり理解する必要がありません。

認証はWEBブラウザが起動し、そこでユーザIDとパスワードを認証する。

イメージ湧いたかな？

この記事のURL │Comments(0) │Q&A掲示板

2005年10月18日

802.1X認証

コロンブス望遠鏡 802.1x＝Port-Based　Network　Access　Control
つまり、（ポート単位の）アクセスコントロール。

認証機能ではない。

実際には、「802.1x認証」という言葉にて、認証の仕組み（や暗号化の仕組み）を加えた仕組みを意味することが多い。
ただ、もともとの意味はアクセスコントロールであることは忘れないでおきましょう。

登場人物は
①サプリカント（クライアントPCにインストールされるソフト）
②オーセンティケータ（APなど）
③認証サーバ
である。

◆IEEE 802.1X
Xは大文字。数学のxのように、色々な文字が入ると勘違いされないように。

この記事のURL │Comments(0) │Q&A掲示板

2005年10月17日

MACアドレス認証

コロンブス普通【コロンブス】
MACアドレス認証はセキュリティ対策として不十分と言われている。
なぜでしょうか？

王様喜び

【王様】
これは得意じゃ。
・MACアドレスは暗号化されていないので、盗聴可能であること。
・クライアントPCでMACアドレスの偽装が簡単にできること。
この２つから、MACアドレスを盗聴したうえでそのMACアドレスに偽装されるからだね。

あ、だったら、MACアドレスも暗号化してしまえばいいのにな。IPsecのトンネルモードの場合、IPアドレスも偽装しているからMACアドレスの偽装も可能だろうに。

コロンブス普通【コロンブス】
それはできませんね。
技術的な問題ではなくて。
ちょっと考えればわかるので、考えてください。

この記事のURL │Comments(0) │Q&A掲示板

次のページへ